（瞎子论道）感兴趣的都来谈谈自己的想法——《规则问题》

柯林

回复 58楼 lzy199156 的帖子

默认规则，无须关闭D+就可安装程序——建议联网安装，以便使用毛豆云检测。

柯林

回复 59楼 nhz998 的帖子

默认规则全局监控，云检测+白名单自动放过已知的安全软件，未知程序入沙并弹窗；无论已知未知，高危操作会弹窗询问。

柯林

回复 60楼 olda 的帖子

xp系统，毒霸套装，刚才看它还有个网盾防火墙，下来玩玩。

footman

回复 1楼 柯林 的帖子

受保护的文件和注册表 *全局保护
学习模式把所有软件学习一次，然后再调至安全模式（确保系统干净，可以设个文件组内含程序目录和系统目录，并只对该组内的程序学习）
再添加个*的全局阻止规则在最下面，对可执行镜像设置下

柯林

回复 64楼 ydhjwdj 的帖子

那样只适合变态狂用，对于日常应用没意义。
简单来说，默认规则上随便修改下就很强了——
FD上来说，与其*，不如加磁盘保护 C:*|   D:*|  E:*|  F:*|  ……自己用到的程序排除，譬如记事本，允许它在各个盘创建txt文件；同时除了windows目录【避免产生病毒尸体——windows目录不允许非系统程序创建临时文件】，各个盘要排除临时文件。
RD上来说，全局*完全是自己给自己找抽——全局阻止又来个学习模式，典型的废话！该流氓的流氓了，该添加开机启动的添加了，甚至该注册服务驱动的都注册了，学习个啥呢？这样子整出来，摆明了是为了“试毒百毒不侵”吧？有意义吗？不安装新的软件了？安装了又来一通学习模式全放行【不学习要累死，大量的排除正常行为啊】？如果是这样的用法，不客气地说，比监控重点项目的做法差得多得多。默认规则你要觉得监控得不够，修改补强是可以的。但是这种“皇帝的新装”式的全局*,没什么意义。如果，将来毛豆发展得更好一些，可以做到——高危的RD项目列入监控，其它的一律入沙，那时要玩*才有意义——危险的不许，一般的让你暂时过瘾，下次开机自动废了（毛豆加入自动倒沙吧）。

footman

回复 65楼 柯林 的帖子

FD 上还需保护\Device的文件有些特权的管道文件不被保护的话也是比较危险的，还有\windows和\program files下的文件（我是在*保护下发现的，居然也能执行，不过不知道其具体作用，你可以试试安装PPS如果*全局保护的话会发现很多这样的文件），所以就保护*所有的文件了

RD 上我不是很了解，但是我学习的是可信程序又不是病毒，程序流氓、开机启动等可以例外排除或用卫士等优化软件优化下即可。

至于安装我是很少装软件的，至多一个月装2次吧，都是从官网上下的比较可信，装完学习下也不烦，如果经常装软件的话就当我没说。
总之我的初衷就是让规则尽量少排除、打磨但又比较安全，至于合不合理是不适用仅供参考。

以上只是我的一点点想法

p_4587

对于安装程序，我是采用指定一个目录的做法，将一些危险的操作进行阻止，比如说是加驱、保护重要注册表等。
如果关闭D+进行安装的话，那怕是正规软件搞个流氓动作也是很烦人的。

p_4587

对于应用程序防护，可以在资源管理器规则中的运行一个程序中将需要用的软件添加进行，这样可以增加不少防护。
一般软件运行一个程序我都是选询问的，自己手工判断，需要允许或阻止再手工输入进去，全局规则中的运行一个程序也是询问。

p_4587

回复 26楼 柯林 的帖子

我在杀软和操作系统的规则之后，紧跟一条针对所有程序的规则，就是禁止修改所有可执行文件。

柯林

回复 69楼 p_4587 的帖子

实际上最好的用法就是全局监控——缺点是列入的监控对象越多，需要排除的东西也越多，正所谓只适合专家用户的用法。
如果要使用黑白名单，可以考虑至少二级过滤：第一道全局*阻止掉危险项目的访问，接下来是允许正常软件使用的范围，最后加一条*监控剩余的东西。所有的程序分组规则，位于两道过滤之间。如果要细化，建议参考抓抓的多级过滤体制。